next up previous contents
Next: 7.2.2 認証 Up: 7.2 IPsecの概略 Previous: 7.2 IPsecの概略

7.2.1 IPv6のヘッダ構造

IPv6のヘッダは、IPv4の可変長と異なり、40byteの固定長になっています。 送信元、宛先が16byteづつの32byteを消費しますから、 その他の情報のためにはたった8byteしかないことになります。 勿論、このように固定長にしている理由は、ルータでの処理の高速化のため です。可変長でオプションが入っていると、ASICでの処理が困難になるため 高速化の足かせになるのです。一方、暗号化や認証をIPのレベルでサポート するには、この種のオプションがなければ実装することは不可能であると 言って良いでしょう。IPv6では、こうした矛盾する要求を拡張ヘッダと 言う方法でうまく解決しています。拡張ヘッダは、簡単に言えば、ヘッダが 数珠繋ぎになったものです。IPv4ではプロトコルタイプフィールドと呼ばれていた フィールドに対応し、IPv6では後続ヘッダ(Next Header)と呼ぶフィールドに、 拡張ヘッダが続く場合にはそれに対応する番号を、TCPやUDPヘッダが来る 場合には6(TCP)あるいは17(UDP)を書くことで、拡張ヘッダが挟まれている かどうかを知ることが出来ます。後続ヘッダは拡張ヘッダにもあるために、 拡張ヘッダは制約はありますが、繋げて複数を格納することが出来ます。 先のXCASTはこの拡張ヘッダを使うことによって実現されており、 宛先リストがこの拡張ヘッダに格納されているが故にeXplicit multiCAST(明示的 マルチキャスト)と呼ばれているのです。

RFC2460で定義されている拡張ヘッダの種類は以下の通りです。

  1. ホップバイホップオプションヘッダ
  2. ルーティングヘッダ
  3. フラグメントヘッダ
  4. 宛先オプションヘッダ
  5. 認証ヘッダ(AH: Authentication Header)
  6. 暗号ペイロードヘッダ(ESP: Encapsulating Security Payload)

中継ルータは特別なルーティングに関する拡張ヘッダを除いては、これらの拡張 ヘッダを解釈しないことになっています。

ここに見られるように、IPsecは拡張ヘッダを通じて実現されており、認証と ペイロード暗号化の2つの機能を提供しています。



Noriyo Kanayama